апрель    2026

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

показать все 

01.04.2026

Группа «Борлас» вошла в топ-10 крупнейших интеграторов и поставщиков услуг поддержки решений 1С по версии TAdviser

Читать далее 

30.03.2026

Менее 10% компаний в РФ фиксируют экономический эффект от внедрения ИИ

Читать далее 

30.03.2026

Эксперт Т1: „Внедрять ИИ-агентов надо уже сегодня, даже если эффект пока небольшой

Читать далее 

25.03.2026

Компания РДТЕХ сообщила о назначении Глеба Желтова заместителем генерального директора компании

Читать далее 

23.03.2026

Контур.Налоговый мониторинг и платформа «Боцман» интегрированы для локального развертывания

Читать далее 

показать все 

23.03.2026

Эволюция бизнес-процессов от ИИ-инструментов к мультиагентным командам

Читать далее 

23.03.2026

Время внедрения: ИИ в вашем бизнесе – эксперимент или реальная прибыль?

Читать далее 

18.03.2026

Ах, если бы сбылась моя мечта!

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Архив номеров / 2025 / Выпуск №5 (148) / Не усложняйте без необходимости

Рубрика: Безопасность

Не усложняйте без необходимости

Эксперт по разработке BI-решений Филипп Папаянов рассказал, почему главной уязвимостью цифровых платформ остаются люди, как простая архитектура помогает обеспечивать надежность, и зачем проектировать систему с прицелом на масштабирование.

Утечки баз данных стали одной из главных киберугроз для российского бизнеса. По данным компании F.A.C.C.T. (бывшая Group-IB), в 2024 году в публичном доступе появилось более 250 ранее не опубликованных баз данных российских компаний, содержащих персональную информацию пользователей.

Особую ценность для злоумышленников представляют аналитические системы и BI-решения, которые аккумулируют в себе не только чувствительные персональные данные, но и внутренние финансовые, операционные и стратегические сведения компаний.

Ошибка или компрометация в таких системах может привести не только к утечке информации, но и к искажению бизнес-прогнозов и принятию неверных управленческих решений, предупреждает Филипп Папаянов – архитектор и разработчик аналитической системы маркетинга (АСМ), которая объединяет OLTP, финансовое моделирование и BI-инструменты, автор научных работ. Система более девяти лет ежедневно используется в управлении крупнейшими торговыми центрами России, охватывая весь цикл работы с арендаторами – от стратегического планирования до прогнозирования товарооборота, и успешно прошла аудит ДРТ (наследника Deloitte).

– Филипп, какие угрозы для безопасности масштабных бизнес-аналитических систем сегодня вы считаете наиболее актуальными?

– В аналитических системах, особенно тех, которые используются только внутри корпоративной сети, актуальны те же риски, что и у любой другой информационной системы. И, соответственно, меры защиты здесь применяются схожие. Но если говорить о наиболее уязвимых точках, то на практике слабым местом чаще всего оказываются не технологии, а люди – в частности, администраторы BI-систем.

Это специалисты, которые имеют доступ ко всем слоям данных и могут стать приоритетной целью для атак. Особенно если злоумышленники используют методы социальной инженерии – обман, психологическое давление или фишинг. В этом случае можно обойти любые технические ограничения, просто получив нужную информацию от человека.

– Какие принципы защиты информации и отказоустойчивости вы закладывали в АСМ изначально и пришлось ли что-то усиливать со временем?

– Честно говоря, за девять лет всё-таки один сбой был – это случилось по вине провайдера серверных мощностей, когда у них произошёл сбой системы распределения памяти. Но с точки зрения самой системы, да – ни одного инцидента.

При разработке я придерживался принципа бритвы Оккама: не усложнять без необходимости. Несмотря на то, что в системе довольно сложная математика и бизнес-логика, архитектура у неё максимально лаконичная – классическое двухзвенное приложение. Сервер базы данных сам по себе предоставляет достаточно инструментов для защиты информации, и необходимости придумывать что-то дополнительное просто не было.

Что касается отказоустойчивости, то с самого начала было принято правило: все обращения к серверу – исключительно через хранимые процедуры. Это базовый подход, но именно он обеспечивает стабильность и контролируемость работы на уровне данных. И, как показывает практика, отлично себя оправдывает.

– Вашей АСМ ежедневно пользуются сотни сотрудников. Могут ли какие-то их ошибочные действия привести к уязвимостям системы?

– С точки зрения информационной безопасности – нет, уязвимостей из-за действий сотрудников быть не должно. Мы изначально заложили архитектуру так, чтобы пользователи не могли повлиять на систему в обход предусмотренных механизмов. А вот с бизнес-рисками, конечно, всё сложнее. Человеческий фактор никто не отменял – сотрудник может внести некорректные данные, которые в итоге повлияют на прогнозы и управленческие решения. Чтобы минимизировать такие ситуации, в системе реализованы механизмы верификации и согласования данных. Но это уже вопрос не к ИТ, а к процессам внутри компании.

– Оной из главных угроз остаётся социальная инженерия. Существуют ли, по вашему мнению, специальные методики обучения сотрудников, которые помогают минимизировать такие риски и предотвращать ошибки, угрожающие безопасности данных?

– Каких-то особых, универсальных методик тут нет. Очень важно не замалчивать тему – нужно постоянно проговаривать риски, приводить примеры, объяснять, как именно работает социальная инженерия.

Хорошо работают так называемые «учебные атаки» – когда сотрудникам специально рассылаются фишинговые письма или поддельные ссылки, чтобы проверить, кто правильно среагировал, а кто – нет, и почему.

Например, можно время от времени рассылать фальшивые фишинговые письма от имени «службы безопасности» или «руководства» и смотреть, кто откроет письмо, перейдёт по ссылке, введёт логин/пароль или скачает файл.

После таких тренировок можно объяснить, на что обратить внимание: какие сигналы должны насторожить и что делать категорически нельзя. Это помогает выработать устойчивые безопасные привычки у сотрудников, и со временем уровень уязвимости от социальной инженерии заметно снижается

– Вы делитесь экспертизой в профессиональных изданиях и выступаете как автор научных статей. Какой главный совет по построению надежных и безопасных аналитических систем вы бы дали командам, которые только начинают этот путь?

– Часто на старте бывает так: нужно срочно что-то «написать», «собрать», «поставить», чтобы закрыть текущую задачу. Кажется, что это временное решение, что пользоваться системой будет максимум пара человек, и можно не «заморачиваться» с архитектурой, безопасностью, масштабируемостью. Но проходит время – и эта система незаметно становится критически важной для бизнеса. В ней начинают работать десятки, а потом и сотни людей, она влияет на управленческие решения, финансовые показатели, и тут начинаются проблемы.

Во-первых, система становится «узким местом» – она уже не справляется с нагрузкой. А во-вторых, переделывать всё на ходу – сложно, дорого и часто рискованно: особенно если от её работы зависит, например, прибыль компании.

Поэтому мой главный совет: с самого начала думайте о системе так, как будто она уже критически важна. Это не избыточная осторожность – это здравый подход, который потом сэкономит и ресурсы, и нервы.

Ключевые слова: безопасность аналитической системы, архитектура, социальная инженерия, защита от рисков.

Подпишитесь на журнал

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи